외로운 Nova의 작업실
디지털 포렌식 기초 - 2(이미지 덤프와 마운트, 기초도구) 본문
안녕하세요. 1장에 이어서 디지털 포렌식에대해 지속적으로 알아보겠습니다.
- 이미징과 마운트
디스크 이미징 : 디스크는 물리장비이기 때문에 파일시스템의 형태로 변환시키는 것
디스크 마운트 : 디스크 이미징된 파일을 분석에 사용하는 나의 컴퓨터에 이동시키는 것
메모리 덤프 : 켜져있는 컴퓨터를 수사할때 메모리 사용의 한순간을 캡쳐하여 파일로 변환시켜 나의 컴퓨터에 이동시키는 것
- 설치 프로그램
HXD : 파일의 HEX값을 보는 프로그램
https://mh-nexus.de/en/downloads.php?product=HxD20
Everything : 컴퓨터 안의 파일을 검색하는 프로그램
https://www.voidtools.com/ko-kr/
7zip : 특이한 압축을 풀어주는 프로그램
notepad++ : 여러가지 파일을 한번에 볼 수 있는 프로그램
https://notepad-plus-plus.org/downloads/v8.4.6/
sysinternal suite : 디지털 포렌식 도구들의 모음
https://learn.microsoft.com/en-us/sysinternals/downloads/sysinternals-suite
FTK imager : 디스크 이미징 해주는 프로그램
https://drive.google.com/file/d/1Z7uWXZQlqKuwjWpS5dhZBT6CT-EJtCOT/view
autopsy : 디스크 이미징관련 추가적인 기능들이 있는 프로그램
https://www.autopsy.com/download/
- 실제 이미징과 이미지 마운팅 시키기
1. FTK imager 에서 Create disk image를 누른후 physical drive를 누른다음, 이미징 할 드라이브를 선택합니다. 이후 finish를 누른다음, 이미지 타입은 e01(압축)으로한 후 destination을 지정해줍니다. 파일 이름을 정해주고 image fragment size를 쪼개지 않는다는 0으로 설정해줍니다. 이후 finish를 누른다음 start를 누르면 이미징 파일을 생성해줍니다.
2. 이미지 파일을 생성했다면 이미지 마운팅을 해야합니다. 이미지 덤프는 실제로 본뜬 드라이버를 usb를 꽂은 것처럼 드라이브로 인식하게 해줍니다. 이미지 덤프 단계는 이미지 마운팅을 클릭해주고 파일을 선택해주고 mount를 클릭하면 마운팅이 됩니다. 마운팅을 하면 이전에 보지 못했던 드라이브가 나옵니다.
E로컬 디스크는 원래 없었지만 마운팅후에 생성되었습니다. E디스크는 usb 드라이브를 이미징하고 마운팅한 디스크입니다.
- 실제 메모리 덤프해보기
FTK imager에서 Capture memory를 선택해줍니다. 이후 destination을 정해주고 Capture memory를 클릭해줍니다. 이후 생성파일을 HxD 프로그램을 실행하여 올려주면 볼 수 있습니다.
'Digital Forensics' 카테고리의 다른 글
디지털 포렌식 기초 - 5(volatility 명령어 정리) (0) | 2022.10.29 |
---|---|
디지털 포렌식 기초 - 5(grrcon 2015#1 침해 분석) (0) | 2022.10.28 |
디지털 포렌식 기초 - 4(malware cridex 침해 분석) (2) | 2022.10.26 |
디지털 포렌식 기초 - 3(파일 복구, 침해 분석 문제 다운로드 및 준비) (0) | 2022.10.26 |
디지털 포렌식 기초 - 1(정의,유형,대상) (0) | 2022.10.25 |